Новый зловред крадет пароли от аккаунтов и майнит криптовалюту, прячась в популярном плагине для Chrome. В результате его действий пострадали уже более 100 тыс. пользователей Facebook. Находку назвали Nigelthorn по имени скомпрометированного расширения Nigelify, которое заменяет все фотографии на открытой странице кадрами из популярного мультсериала «Дикая семейка Торнберри».

Злоумышленники активно используют методы социальной инженерии для распространения программы, рассылая личные сообщения потенциальным жертвам или отмечая их в своих публикациях. Послания содержат вредоносные ссылки, ведущие на фальшивую YouTube-страницу, которая требует установить дополнение к браузеру для просмотра видеоролика.

Чтобы обмануть систему проверки Google, киберпреступники внедрили короткие обфусцированные части вредоносного кода в скомпрометированный плагин. После установки на компьютер Nigelthorn связывается с командным сервером и подключает зараженное устройство к ботнету.

Зловред авторизуется в Facebook, чтобы перехватить токен сеанса и переслать злоумышленникам логин и пароль жертвы. Взяв под контроль страницу пользователя в социальной сети, программа не позволяет владельцу взломанного аккаунта удалять посты и писать комментарии.

Пытаясь не допустить своего удаления, Nigelthorn запрещает пользователю открывать вкладку плагинов в браузере, а также блокирует загрузку утилит для очистки Chrome.

Следующим этапом атаки является загрузка на компьютер жертвы специально созданного JavaScript, который устанавливает утилиту для майнинга криптовалюты. Мошенники используют скомпрометированные устройства для генерации монет Bytecoin, Monero и Electroneum. По сообщению экспертов, за последние несколько дней в кошельки киберпреступников поступила сумма, эквивалентная $1 тыс.

Большинство зараженных устройств находятся в Эквадоре, Венесуэле и на Филиппинах. Помимо Nigelify, злоумышленники используют для распространения зловреда и другие плагины Chrome. Система безопасности Google самостоятельно обнаружила еще четыре расширения, содержавшие вредоносный код, и оперативно удалила их из репозитория.

Плагины сторонних разработчиков регулярно доставляют неприятности специалистам Chrome. Недавно Google удалила из интернет-магазина браузера пять блокировщиков рекламы, тайно собиравших информацию о действиях пользователя. Как подсчитали эксперты, скомпрометированные расширения загрузили не менее 20 млн. раз.

Ранее компания отказалась от распространения в своем браузере любых плагинов для майнинга криптовалюты. Многие из них скрывали добычу цифровых денег, используя вычислительные мощности компьютера без согласия пользователя.

Категории: Аналитика, Вредоносные программы, Мошенничество